よろづやアンテナ

ITから生活の参考になる情報を備忘録代わりに残していきます

Windows NTML認証の古いパスワードの有効期間を変更するレジストリ値

Windows Server 2012R2移行で、NTML認証の古いパスワードの有効期間を変更するレジストリ値に関する情報になります。

 

NTML認証が使用される環境の場合、パスワード変更後も一定期間、古いパスワードが利用できてしまいますが、この一定期間の時間を変更する場合に参考なる情報です。

 

以下は情報元です。

 

新しい設定により、NTLM ネットワーク認証の動作を変更する

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/windows-security/new-setting-modifies-ntlm-network-authentication

 

情報の抜粋です。

 

概要

Microsoft Windows Server 2003 Service Pack 1 (SP1) 以降では、NTLM ネットワーク認証の動作が変更されています。 ドメインユーザーは、パスワードが変更された後1時間に、古いパスワードを使用してネットワークにアクセスできます。 認証に Kerberos を使用するように設計された既存のコンポーネントは、この変更の影響を受けません。

 

この変更の目的は、管理者が新しいパスワードの資格情報を更新できるようになるまで、サービスを実行し続けるなどのバックグラウンド処理をしばらく継続できるようにすることです。

 

動作

 

ドメインユーザーが NTLM を使用してパスワードを正常に変更した後でも、ユーザーを定義できる期間、ネットワークアクセスに古いパスワードを使用することができます。 この動作によって、パスワードの変更が伝達されている間に複数のコンピューターにログオンしてネットワークにアクセスするサービスアカウントなどのアカウントを使用できます。

 

●パスワードの有効期間の拡張機能は、NTLM を使用したネットワークアクセスにのみ適用されます。 対話型ログオンの動作は変更されません。 この動作は、スタンドアロンサーバーまたはメンバーサーバーでホストされているアカウントには適用されません。 この動作によって影響を受けるのはドメインユーザーのみです。

 

●古いパスワードの有効期間は、ドメインコントローラーのレジストリを編集することによって構成できます。 このレジストリの変更を有効にするために、再起動する必要はありません。

 

 

古いパスワードの有効期間を変更するには、ドメインコントローラーの次のレジストリサブキーに Oldpasswordallowedperiod という名前の DWORD エントリを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

 

続いて変更する手順です。

 

①[ スタート ] ボタンをクリックし、[ ファイル名を指定して実行 ] をクリックします。次に、「Regedit」と入力し、[ OK ] をクリックします。

②次のレジストリ サブキーを見つけてクリックします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

③[ 編集 ] メニューの [ 新規 ] をポイントし、[ DWORD 値 ] をクリックします。

④DWORD の名前として「 Oldpasswordallowedperiod 」と入力し、enter キーを押します。

⑤[ Oldpasswordallowedperiod ] を右クリックし、[ 変更 ] をクリックします。

⑥[ 値データ ] ボックスに、使用する値を分単位で入力して、[ OK ] をクリックします。

レジストリ エディターを終了します。

 

Windows NTML認証の古いパスワードの有効期間を変更するレジストリ値を探していた方は参考にしてみてください。